AVV für Newsletter-Tools: Checkliste & Prüfprozess

Der Auftragsverarbeitungsvertrag (AVV) ist für den rechtskonformen Einsatz eines Newsletter-Tools unerlässlich. Wenn Ihre Organisation personenbezogene Daten wie E-Mail-Adressen, Namen oder Nutzungsverhalten an einen externen Dienstleister übermittelt, handelt es sich datenschutzrechtlich um eine Auftragsverarbeitung nach Art. 28 DSGVO. Dieser Artikel richtet sich an Verantwortliche in Vergabe, Legal, Datenschutzbeauftragte und IT-Abteilungen, die einen AV-Vertrag für ein Newsletter-Tool prüfen oder verhandeln müssen. Wir erklären die wesentlichen Bestandteile, liefern eine Checkliste für eine 30-minütige Erstprüfung und einen Fragenkatalog für Anbieter – ohne Rechtsberatung, aber mit klarem Fokus auf Prüfpunkte und Prozess.

Warum ein AVV bei Newsletter-Tools zwingend ist

Newsletter-Tools verarbeiten regelmäßig personenbezogene Daten im Auftrag des Kunden. Die DSGVO verlangt, dass Verantwortliche (Ihr Unternehmen) nur mit Auftragsverarbeitern (dem Tool-Anbieter) zusammenarbeiten, die hinreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten. Der AVV dokumentiert diese Garantien rechtsverbindlich.

Ohne AVV drohen:

  • Bußgelder bei Datenschutzverstößen
  • Haftung für Sicherheitsvorfälle
  • Untersagung der Datenverarbeitung durch Aufsichtsbehörden

Ein professionelles Newsletter-Tool sollte einen standardisierten AVV anbieten, der alle gesetzlichen Anforderungen erfüllt. Prüfen Sie vor Vertragsschluss, ob der Anbieter die DSGVO-Anforderungen transparent darstellt.

Gegenstand und Dauer der Auftragsverarbeitung

Der AVV muss präzise beschreiben, was der Anbieter für Sie tut. Bei einem AVV eines Newsletter-Tools lautet der Gegenstand typischerweise:

  • Speicherung und Verwaltung von E-Mail-Adressdaten
  • Versand von E-Mail-Kampagnen nach Weisung
  • Hosting von Anmeldeformularen und Landingpages
  • Analyse von Öffnungs- und Klickraten

Dauer: Der AVV gilt meist so lange, wie der Hauptvertrag (Nutzungsvertrag) besteht. Prüfen Sie, ob eine automatische Verlängerung vorgesehen ist und welche Kündigungsfristen gelten.

Kategorien Betroffener und personenbezogene Daten

Listen Sie auf, wer betroffen ist und welche Daten verarbeitet werden:

Kategorie Betroffener Beispiel Datenkategorien
Newsletter-Abonnenten E-Mail-Adresse, Vorname, Nachname
Interessenten IP-Adresse, Zeitstempel, Anmeldequelle
Kunden Kundennummer, Kaufhistorie (falls integriert)

Ein DSGVO-konformes Tool sollte Datenminimierung ermöglichen. In unserem Artikel zu Newsletter-Datenschutz finden Sie weitere Hinweise zur datenschutzfreundlichen Konfiguration.

Weisungsrechte und Weisungsbefugnis

Art. 28 Abs. 3 lit. a DSGVO fordert, dass der Auftragsverarbeiter Daten nur auf dokumentierte Weisung verarbeitet. Der AVV muss festlegen:

  • Standardweisungen: Versand nach Freigabe durch den Verantwortlichen, Speicherung in definierten Rechenzentren (EU/EWR)
  • Ad-hoc-Weisungen: Prozess für individuelle Anweisungen (schriftlich, per E-Mail mit Bestätigung)
  • Eskalation: Was passiert, wenn der Anbieter eine Weisung für rechtswidrig hält?

Bei der Datenverarbeitung durch Newsletter-Dienstleister ist klar definierte Weisungsbefugnis essentiell.

Subprozessoren und Unterauftragnehmer

Viele Newsletter-Anbieter nutzen externe Subprozessoren (z. B. Cloud-Hoster, Analytics-Dienste). Der AVV muss:

  • Eine aktuelle Liste aller Subprozessoren enthalten oder darauf verweisen
  • Standorte der Subprozessoren angeben (besonders wichtig bei Drittländern)
  • Ihr Widerspruchsrecht bei neuen Subprozessoren regeln (mindestens 30 Tage Vorlauf)

Prüfpunkte:

  • Sind alle Subprozessoren in der EU/EWR ansässig?
  • Gibt es Drittlandtransfers (z. B. USA)? Falls ja: Welche Garantien (z. B. EU-Standardvertragsklauseln)?
  • Wird bei Subprozessorenwechsel proaktiv informiert?

TOM-Prüfung bei Newsletter-Tools

Technisch-organisatorische Maßnahmen (Anlage TOM)

Die TOM-Anlage ist das Herzstück der Sicherheitszusagen. Der AVV vom Newsletter-Tool sollte mindestens folgende Maßnahmen dokumentieren:

Technische Maßnahmen:

  • Transportverschlüsselung (TLS 1.2 oder höher)
  • Verschlüsselung gespeicherter Daten (at rest)
  • Firewall und Intrusion Detection
  • Regelmäßige Penetrationstests
  • Backup-Strategie und Disaster Recovery

Organisatorische Maßnahmen:

  • Zugriffskontrolle und Rollenkonzepte
  • Datenschutzschulungen für Mitarbeiter
  • Vertraulichkeitsverpflichtungen
  • Incident-Response-Prozess
  • Löschkonzept und Datenhygiene

Eine Liste konkreter TOM-Anforderungen finden Sie in unserem Beitrag zu Newsletter-Tool-TOMs.

Checkliste: TOM in 10 Minuten prüfen

  • Ist die TOM-Anlage aktuell (nicht älter als 12 Monate)?
  • Werden Verschlüsselungsstandards (TLS, AES) benannt?
  • Gibt es ISO 27001 oder vergleichbare Zertifizierungen?
  • Sind Zugriffsprotokolle und Logging implementiert?
  • Wird ein Bug-Bounty-Programm oder externe Audits erwähnt?

Löschung und Rückgabe von Daten

Nach Vertragsende oder auf Anforderung muss der Anbieter alle personenbezogenen Daten löschen oder zurückgeben. Der AVV sollte regeln:

  • Löschfristen: Automatische Löschung nach X Tagen oder manuelle Anforderung
  • Rückgabeformat: Export als CSV, JSON oder direkter API-Zugriff
  • Bestätigung: Schriftliche Löschbestätigung durch den Anbieter
  • Ausnahmen: Gesetzliche Aufbewahrungspflichten (z. B. Finanzbuchhaltung)

Ein professionelles Newsletter-Tool bietet Self-Service-Exportfunktionen. Prüfen Sie, ob der Anbieter wie in diesem OMR-Leitfaden beschrieben Datenportabilität gewährleistet.

Auditrechte und Kontrollmöglichkeiten

Sie haben das Recht, die Einhaltung der DSGVO beim Auftragsverarbeiter zu überprüfen. Der AVV muss festlegen:

  • Audit-Turnus: Mindestens einmal jährlich oder anlassbezogen
  • Audit-Arten: Vor-Ort-Prüfung, Remote-Audit, Zertifikatsvorlage (z. B. ISO 27001)
  • Kosten: Wer trägt die Kosten (oft: erste Prüfung kostenfrei, weitere kostenpflichtig)?
  • Dritte: Dürfen Sie externe Auditoren beauftragen?

Praxistipp: Akzeptieren Sie nicht-pauschale Audit-Klauseln nur, wenn der Anbieter aktuelle ISO-Zertifikate oder vergleichbare Nachweise vorlegt.

Incident-Meldung und Datenschutzverletzungen

Der Auftragsverarbeiter muss Sie unverzüglich über Datenschutzverletzungen informieren (Art. 33 DSGVO). Der AVV sollte definieren:

  • Meldefrist: Innerhalb von 24-48 Stunden ab Kenntnis
  • Meldewege: E-Mail, Telefon, Ticketsystem (redundant)
  • Informationsumfang: Betroffene Daten, geschätzter Umfang, erste Maßnahmen
  • Unterstützungspflicht: Hilfe bei der Meldung an Aufsichtsbehörden und Betroffene

Für die Rolle des Datenschutzbeauftragten bei Newsletter-Tools ist ein klarer Incident-Prozess zentral.

AVV-Prüfprozess in 30 Minuten

Checkliste: AVV in 30 Minuten prüfen

Für eine schnelle Erstbewertung eines AVV für Ihr Newsletter-Tool nutzen Sie diese Checkliste:

Formale Prüfung (5 Minuten)

  • AVV ist als eigenes Dokument oder als Vertragsanlage eindeutig gekennzeichnet
  • Datum und Versionsnummer vorhanden
  • Unterschriftsberechtigung des Anbieters erkennbar
  • Vertragslaufzeit und Kündigungsfristen benannt

Inhaltliche Prüfung (15 Minuten)

  • Gegenstand, Dauer und Art der Verarbeitung konkret beschrieben
  • Kategorien Betroffener und Daten vollständig aufgeführt
  • Weisungsrechte dokumentiert (Standard- und Ad-hoc-Weisungen)
  • TOM-Anlage aktuell und detailliert (mindestens 2 Seiten)
  • Subprozessorenliste vorhanden, Drittländer transparent gemacht
  • Lösch- und Rückgabeprozess mit Fristen definiert
  • Auditrechte mindestens einmal jährlich gewährt
  • Incident-Meldung innerhalb 48 Stunden zugesagt

Risikobewertung (10 Minuten)

  • Serverstandorte ausschließlich EU/EWR oder mit angemessenen Garantien
  • Keine unkontrollierten Drittlandtransfers (USA, Asien)
  • Zertifizierungen (ISO 27001, SOC 2) vorhanden oder geplant
  • Haftungsregelung bei Datenschutzverletzungen klar
  • Keine einseitigen Änderungsrechte des Anbieters ohne Zustimmung

Muster-Fragenkatalog für Anbieter

Nutzen Sie diese Fragen bei der Angebotsanfrage oder im Vergabeprozess:

Vertragliche Fragen:

  1. Stellen Sie einen DSGVO-konformen AVV standardmäßig zur Verfügung?
  2. Ist der AVV verhandelbar oder ein Standarddokument?
  3. Welche Fristen gelten für Vertragsänderungen beim AVV?

Technische Fragen:
4. In welchen Rechenzentren (Standorte) werden Daten gehostet?
5. Welche Verschlüsselungsstandards nutzen Sie (Transport/Speicherung)?
6. Wie häufig führen Sie Penetrationstests durch?
7. Welche Zertifizierungen besitzen Sie (ISO 27001, SOC 2, andere)?

Organisatorische Fragen:
8. Wie werden Mitarbeiter datenschutzrechtlich geschult?
9. Welche Incident-Response-Prozesse sind etabliert?
10. Gibt es einen dedizierten Datenschutzbeauftragten beim Anbieter?

Subprozessoren:
11. Welche Subprozessoren setzen Sie ein (aktuelle Liste)?
12. Wie werden Änderungen bei Subprozessoren kommuniziert?
13. Gibt es Drittlandtransfers? Falls ja, welche Garantien (EU-SCC)?

Support und Audits:
14. Wie erfolgt die Unterstützung bei Betroffenenrechten (Auskunft, Löschung)?
15. Welche Audit-Möglichkeiten bieten Sie (Vor-Ort, Remote, Zertifikate)?
16. Welche Kosten entstehen für Audits?

Eine umfassende Betrachtung der Newsletter-Compliance hilft, diese Fragen kontextgerecht zu stellen.

Textbausteine für Leistungsbeschreibung und Vertragsanlage

Für Ausschreibungen oder interne Vertragsvorlagen können Sie folgende neutrale Textbausteine verwenden:

Leistungsbeschreibung (Beispiel)

„Der Auftragnehmer stellt eine DSGVO-konforme Newsletter-Softwarelösung bereit, die folgende Leistungen umfasst:

  • Hosting und Verwaltung von E-Mail-Adressdaten in Rechenzentren innerhalb der EU/EWR
  • Versand von E-Mail-Kampagnen ausschließlich nach dokumentierter Weisung des Auftraggebers
  • Bereitstellung technisch-organisatorischer Maßnahmen gemäß Art. 32 DSGVO (TLS-Verschlüsselung, Zugriffskontrolle, Backup-Strategie)
  • Unterstützung bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Datenportabilität)
  • Incident-Meldung innerhalb von 24 Stunden ab Kenntnis einer Datenschutzverletzung
  • Bereitstellung einer aktuellen TOM-Anlage und Subprozessorenliste
  • Audit-Möglichkeit mindestens einmal jährlich (Zertifikatsvorlage oder Remote-Audit)

Der Auftragnehmer verpflichtet sich, einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.““

Vertragsanlage (Beispiel)

„Anlage 1: Auftragsverarbeitung gemäß Art. 28 DSGVO

1. Gegenstand: Bereitstellung einer Newsletter-Software zur Verwaltung und zum Versand von E-Mail-Kampagnen

2. Dauer: Entsprechend Hauptvertrag, mindestens bis [Datum]

3. Kategorien Betroffener: Newsletter-Abonnenten, Interessenten, Kunden

4. Kategorien personenbezogener Daten: E-Mail-Adresse, Vorname, Nachname, Zeitstempel, IP-Adresse (bei Anmeldung), Öffnungs-/Klickverhalten

5. Weisungen: Versand nur nach Freigabe durch Auftraggeber; Speicherung ausschließlich in EU/EWR-Rechenzentren

6. Subprozessoren: Siehe Anlage 2 (Subprozessorenliste); Widerspruchsfrist 30 Tage bei Änderungen

7. TOM: Siehe Anlage 3 (Beschreibung technisch-organisatorischer Maßnahmen)

8. Löschung/Rückgabe: Auf Anforderung innerhalb von 30 Tagen; Export als CSV-Datei; Löschbestätigung schriftlich

9. Auditrechte: Einmal jährlich kostenfrei (Zertifikatsvorlage); weitere Audits nach Vereinbarung

10. Incident-Meldung: Unverzüglich, spätestens 24 Stunden ab Kenntnis per E-Mail an [Kontakt]““

Prüfprozess: Von der Angebotsanfrage bis zum Vertragsschluss

Ein strukturierter Prozess sichert die rechtssichere Implementierung eines avv newsletter tool:

Phase 1: Anforderungsanalyse (Woche 1)

  • Datenschutzbeauftragten und Legal-Team einbinden
  • Datenkategorien und Verarbeitungszwecke definieren
  • Budget und technische Anforderungen klären

Phase 2: Marktanalyse (Woche 2-3)

Phase 3: Detailprüfung (Woche 4-5)

  • AVV-Checkliste auf Top-2-Anbieter anwenden
  • TOM-Anlage durch IT-Sicherheit prüfen lassen
  • Subprozessoren und Drittlandtransfers bewerten
  • Bei Bedarf: Verhandlungen über kritische Punkte (z. B. Audit-Kosten, Haftung)

Phase 4: Vertragsschluss (Woche 6)

  • AVV-Unterzeichnung (digital oder physisch)
  • Dokumentation im Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Onboarding und technische Integration
  • Schulung der Mitarbeiter zu Datenschutzprozessen

Plattformen wie Newsletter-Tools.de bieten Vergleiche und Bewertungen, die bei der Marktanalyse helfen.

Besondere Anforderungen für öffentliche Auftraggeber

Für Behörden, Kommunen und öffentliche Einrichtungen gelten zusätzliche Anforderungen:

  • Vergaberecht: AVV muss Bestandteil der Ausschreibung sein
  • Datenschutz-Folgenabschätzung (DSFA): Bei umfangreichen Empfängerlisten oft erforderlich
  • Transparenz: Veröffentlichungspflichten bei Vertragsabschluss (z. B. Vergabeplattform)
  • Eigenwirtschaftlichkeit: Rechtfertigung der Auftragsverarbeitung gegenüber Eigenbetrieb

Die DSGVO-Checkliste von CleverReach enthält spezifische Hinweise für öffentliche Stellen.

Häufige Fehler bei AVV-Prüfungen vermeiden

Fehler 1: TOM-Anlage wird nicht geprüft
Viele konzentrieren sich auf die AVV-Hauptdokumente, übersehen aber die TOM-Anlage. Diese ist jedoch das technische Fundament.

Fehler 2: Subprozessoren werden ignoriert
Drittlandtransfers über Subprozessoren (z. B. US-Cloud-Hoster) sind ein häufiges Risiko. Prüfen Sie jeden einzelnen Subprozessor.

Fehler 3: Keine regelmäßige Aktualisierung
Der AVV ist kein „Set-and-Forget“-Dokument. Fordern Sie jährlich aktualisierte TOM und Subprozessorenlisten an.

Fehler 4: Fehlende Dokumentation
Dokumentieren Sie die AVV-Prüfung im Verzeichnis von Verarbeitungstätigkeiten (VVT) und halten Sie Nachweise für Audits bereit.

Fehler 5: Unklare Verantwortlichkeiten
Klären Sie intern, wer für AVV-Verhandlungen, Vertragsmanagement und laufende Kontrolle verantwortlich ist (oft: Datenschutzbeauftragter + Legal + IT).

AVV als Qualitätsmerkmal bei der Tool-Auswahl

Ein professioneller, transparenter AVV ist ein Qualitätsindikator für ein Newsletter-Tool. Anbieter, die datenschutzrechtliche Anforderungen ernst nehmen, investieren in:

  • Verständliche, vollständige AVV-Dokumentation
  • Proaktive Information über TOM-Updates und Subprozessorenwechsel
  • Self-Service-Funktionen für Datenexport und Löschung
  • Datenschutz-Zertifizierungen (ISO 27001, ePrivacyseal)

Bei der Auswahl bester Newsletter-Plattformen sollte der AVV ein zentrales Entscheidungskriterium sein.

Ein rechtskonformer AVV schützt Ihre Organisation vor Haftungsrisiken und sichert die Rechte Ihrer Newsletter-Empfänger. Mit der 30-Minuten-Checkliste und dem Fragenkatalog sind Sie für die nächste Anbieterprüfung optimal vorbereitet. e-publisher:mail bietet eine DSGVO-konforme Newsletter-Lösung mit transparentem AVV, EU-Hosting und voller Datenhoheit – prüfen Sie selbst, wie wir Datenschutz und Funktionalität vereinen.